Google Advanced Protection: больше защиты в ущерб удобству

Неделю назад,17 октября, компания Google представила расширенные средства безопасности учетной записи Gmail, ориентированные в первую очередь на госслужащих и журналистов, пользующихся сервисами компании. Эксперты не считают панацеей новый набор инструментов Advanced Protection, но благодаря ему любой пользователь может получить впечатляющий уровень защиты.

Advanced Protection состоит из трех уровней защиты, в которых могут нуждаться журналисты и те, кто занят в избирательных кампаниях, отметили представители Google. Учетные записи таких пользователей часто атакуют злоумышленники, как правило, с целью вмешательства в коммуникации жертвы или взлома аккаунта с последующей кражей конфиденциальных данных.

В списке возможностей значится аппаратная двухфакторная аутентификация на основе двух физических ключей безопасности, которая ограничивает полный доступ к ящику Gmail и Google Диску небольшим списком приложений.

«У сторонних приложений больше не будет доступа к Gmail или Диску. Для безопасного доступа нужно использовать только приложение Gmail или Inbox by Gmail, — пояснили в Google. — Сервисами с аутентификацией, такими как Gmail или Фото, можно пользоваться только через браузер Chrome».

Кроме того, чтобы предотвратить взлом учетной записи злоумышленником, специалисты Google добавили целый ряд шагов для восстановления доступа в том случае, когда доступ утрачен по вине пользователя, забывшего свой пароль. «Дополнительная проверка при восстановлении доступа к учетной записи занимает несколько дней», — отметили специалисты Google.

«Мы называем это Podesta-защитой учетной записи Google, — сказал Джозеф Холл (Joseph Hall), главный технолог организации Center for Democracy and Technology, — по имени Джона Подесты (John Podesta), руководителя избирательной кампании Хиллари Клинтон во время последних выборов, на которого была совершена атака».

«Кроме условных «Джонов Подеста», активистов, жертв домашнего насилия и миллиардеров, существует горстка людей, которым будет полезна эта технология, — отметил Холл. — Эти инструменты могут реально помочь потенциальным мишеням, за которыми охотятся государства или излишне инициативные злоумышленники».

В настоящее время новый сервис доступен владельцам личных учетных записей Google, но чтобы его включить, нужны два аппаратных ключа безопасности на основе Bluetooth- или USB-подключения. Бесплатный пакет Advanced Protection недоступен владельцам коммерческих учетных записей G Suite.

По мнению самой Google, Advanced Protection — это лучшие имеющиеся в распоряжении компании инструменты безопасности для пользователей группы повышенного риска, готовых пожертвовать некоторыми удобствами ради сохранности персональных учетных записей.

Эксперты предупреждают, что расширенные меры безопасности не для слабонервных, поскольку устанавливают жесткие ограничения при взаимодействии учетной записи Google с другими интернет-сервисами во время работы на мобильных устройствах, таких как планшеты и смартфоны. «Потеряв пароль, вы рискуете навсегда утратить доступ к своей учетной записи», — говорит Холл.

«Приятно видеть, что Google предоставила некоторым категориям пользователей часть передовых средств защиты из своих бизнес-продуктов», — заявил Аллен Фэлкон (Allen Falcon), генеральный директор поставщика бизнес-решений Cumulus Global.

В своем комментарии для Threatpost он также отметил, что Google предлагает эти сервисы в составе существующих лицензий G Suite или в виде дополнительных платных услуг на платформе Google Cloud Platform.

«Такие услуги в аналогичном виде встречаются и в других облачных службах. Обязательное использование Security Key заменяет все текстовые ключи физическим, и он всегда должен быть в наличии», — объяснил Фалкон.

Недостатком Google Advanced Protection, как отметили эксперты, является отсутствие поддержки шифрования электронной почты. В то же время в пакете G Suite Enterprise с ежемесячной абонентской платой в размере 25 долларов США поддержка ключей шифрования имеется.

Новые инструменты решают серьезную проблему для Google, считает Эрик Ходж (Eric Hodge), директор по консалтинговым услугам в Cyber Scout. По его словам, последние полгода уверенность в надежности сервисов Google потихоньку расшатывалась фишинговыми атаками.

«Мы наблюдаем рекордное количество атак, в которых пользователей обманом заставляют вводить учетные данные на поддельных страницах Google», — заявил Ходж.

Ранее этим летом специалисты Google заблокировали учетные записи, задействованные в массовых рассылках фишинговых писем, имитирующих Google Документы. Письма направлялись преимущественно журналистам, чтобы заставить жертву дать вредоносному приложению разрешение на доступ к пользовательской учетной записи Google.

«Google принимает весьма эффективные меры. Они недешевы, и в большом масштабе этим очень непросто управлять, — считает Ходж. — Кроме того, это будет головная боль для пользователей — постоянно носить с собой маленькое устройство для доступа к своей почте Gmail. Но на мой взгляд, если вы Джон Подеста или кто-то вроде него, вам стоит воспользоваться расширенной защитой».

Компания Google не сообщила, когда сервис будет доступен более широкой аудитории пользователей и планируется ли вообще расширение доступа.

Оригинал записи: Threatpost | Новости информационной безопасности

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *